Аналитики потихоньку сужают круг возможных причин нашумевшей атаки на Sony
PlayStation Network.
Сейчас компания потихоньку восстанавливает работу PSN после атаки,
поставившей под угрозу личные данные 77 миллионов пользователей PlayStation
Network и (кроме того) 25 миллионов покупателей. Хакерам достались такие
персональные данные пользователей как имена, email-адреса, даты рождения и
телефонные номера.
За интенсивной кибер-атакой на Sony последовали короткие DDoS-атаки, которые
проводила группа хакеров Anonymous в качестве протеста против судебного
разбирательства, начатого Sony против
Джорджа
Хотца, взломщика PlayStation. В январе Хотц выложил ключ, который дал
возможность пользователям подписывать и запускать любой понравившийся им код на
PS3. Sony ответила судебным иском против Хотца и других хакеров, ссылаясь на
нарушение DMCA и Акта о компьютерном мошенничестве и злоупотреблении (Computer
Fraud and Abuse Act). Группа Anonymous запустила DDoS-атаки в начале апреля.
Более чем через 2 недели Sony обнаружила проникновение в систему и отключила
серверы PlayStation Network и Qriocity от сети.
Первого мая Sony провела пресс-конференцию по поводу происходящего, во время
ее проведения компания предоставила некоторые ограниченные подробности о том,
что могло бы случиться, выдвинув предположение, что с помощью SQL-инъекции
нападающие получили доступ к серверам баз данных. Компания VeraCode,
специализирующаяся на безопасности приложений, не одобрила эту версию, выдвинув
свои "более правдоподобные" сценарии того, что случилось.
Среди них есть предположение о том, что во время перевозки серверов Sony был
произведён физический доступ к критическим системам. Это маловероятно. Более
правдоподобно то, что одного из 205 сотрудников SOE могли сократить в конце
марта и он мог использовать свой доступ для атаки на компанию в отместку за
увольнение. А атаками Anonymous прикрывался как дымовой завесой, отвлекая
внимание.
Непропатченные серверы также могли быть причиной взлома. В просочившейся
чат-переписке нескольких моддеров PS3 утверждается, что некоторые из
веб-серверов PSN работали с устаревшими версиями Apache и Linux. "Если эта часть
устарела, то и остальное ПО сервера не патчилось уже лет 5, сто процентов", -
заметили представители Veracode. "Если всё так и было, тогда провести вторжение
было очень просто - запустил Metasploit и начал работать. Попутно отметим, что
кэш Google показывает, что серверы Sony отвечали всем современным требованиям,
поэтому вся эта теория лишь предположение".
Благодаря моддингу PS3, в марте был выпущена прошивка Rebug, которая открыл
доступ к некоторым функциям, которые можно было найти лишь в пакете разработчика
PS3, который официально стоит более $10 000. VeraCode предполагает, что
фирменная прошивка Rebug могла сыграть решающую роль в использовании приставки
PS3 для атаки на PlayStaion Network, эта теория частично подкрепляется
косвенными доказательствами.
"Одна из интересных возможностей пакета Rebug – возможность переключать
группу серверов PSN, с которой подключена приставка", - объясняет VeraCode.
"Например, в одной из атак моддеры обнаружили, что можно было подключить PS3 к
устройству контроля качества PSN".
"На этом инстансе серверы не проверяли информацию о кредитных картах до их
привязки к аккаунту, таким образом хакеры могли спокойно добавлять безразмерные
суммы к своему счету. Большая часть из этой информации находилась в общем
доступе до обнаружения атаки. Согласно данным переписки в чате IRC, во время
взлома было обнаружено 45 инстансов PSN. Также возможно, что один из них,
предназначенный только для внутреннего использования, уже имел уязвимости или
был настроен таким образом, что вредоносная PS3 могла максимально его
использовать против остальной сети Sony".
В заключении компания VeraCode сообщила, что определенно уязвимость в
приложении была начальной точкой взлома и что эта уязвимость могла быть или на
серверах Sony или где-нибудь ещё. "Похоже на то, что уязвимость в приложении
была исходным пунктом для взлома. Использовались ли для этого модифицированные
устройства PS3 или нет – открытый вопрос, ещё нет ни одного точного
доказательства какой-либо точки зрения", - заметила компания добавив, что более
вероятно то, что Sony отвечала на "множество простых атак, которые одновременно
наступали с разных направлений", чем на одну многостороннюю атаку.
Компания, специализирующаяся на безопасности приложений, сделала заключение о
том, что атака выглядит скорее как авантюрное нападение, чем прицельная атака.
Анализ ситуации от VeraCode можно посмотреть
тут.
